チェック・ポイント・リサーチ・チームによる2022年12 月12 日における週次のサイバーセキュリティ脅威レポートの抄訳です。

オリジナル英語版は、こちらを参照ください。

今週のTOP サイバー攻撃とセキュリティ侵害について

• サハラ以南のアフリカでのワールドカップの放映権を持つ会社が、大会開始以来、デコードサーバの一つを標的としたサイバー攻撃を相次いで受けています。

• ニューヨークのメトロポリタン・オペラは、サイバー攻撃を受け、ウェブサイト、コールセンター、ボックスオフィスが閉鎖され、購入や交換・返金の対応が制限されました。

• アムネスティ・インターナショナルのカナダ支社が、APT27と呼ばれる中国の国家支援グループによって行われたとされるデータ侵害の犠牲となりました。この脅威アクターは、パスワード管理会社Zohoの脆弱性（CVE-2021-40539）を利用したものです。

Check PointのIPSは、この脅威[VERN_Zoho ManageEngine ADSelfService Plus Authentication Bypass (CVE-2021-40539)]に対する防御機能を備えています。

• ロシア政府が支援するハッカー集団「TAG-53」（別名：Blue Callisto）が、複数の組織を標的としたフィッシングやクレデンシャル・ハーベスティング（資格情報収集活動）に関与していることが明らかになりました。9つの悪意のあるドメインが潜在的な被害者に参照され、そのうちの1つは、正規の米軍兵器およびハードウェアのサプライヤーであるGlobal Ordnanceを装った、なりすましのMicrosoftログインページが含まれています。

Check PointのHarmony Endpointは、この脅威[Gen.Win.Reg.Callisto.AntiVmVirtualBox; Gen.Win.Reg.Callisto.Sandboxie]に対する防御機能を備えています。

• 中国に関連する国家機関グループであるMustang Pandaは、最近のフィッシングキャンペーンでロシア・ウクライナ紛争を利用し、ヨーロッパとアジア太平洋地域の企業から機密データを収集しています。

Check PointのThreat Emulationは、この脅威[APT.Win.MustangPanda; Trojan.Wins.MustangPanda]に対する防御機能を備えています。

• CERT-UAは、攻撃グループUAC-0140によるウクライナ鉄道輸送機構に対するフィッシング攻撃を分析しました。フィッシングメールには、イランのドローン「Shahed-136」に関する情報が含まれており、最終的にマルウェア「DolphinCape」につながったとされています。

• イランのAPTグループ「Agrius」が、ダイヤモンド業界で使用されているイスラエルのソフトウェアスイートを悪用したサプライチェーン攻撃を実行するために、「Fantasy」と名付けられた新しいワイパーが使用されていることが確認されています。このワイパーは、「Agrius」の以前のワイパー「Apostle」をベースにしており、データワイパーとして機能し、ランサムウェアへのなりすましは行われません。 

  Check PointのThreat Emulationは、この脅威[Ransomeware.Winｓ.Apostle]に対する防御機能を備えています。

• 中国系サイバースパイAPTグループ「BackdoorDiplomacy」は、2021年8月に始まった中東の通信会社に対するキャンペーンで、ExchangeサーバのProxyShellを悪用しています。

脆弱性及びパッチについて

• Googleは、Androidのセキュリティアップデートを公開し、Bluetooth経由で悪用されるRCEの不具合を含む4つの重大な脆弱性（CVE-2022-20472, CVE-2022-20473, CVE-2022-20411, CVE-2022-20498）を修正しました。このアップデートでは、Androidのコアコンポーネントに存在する45件以上の脆弱性と、サードパーティコンポーネントに影響する36件の脆弱性に対処しています。

• Internet Explorer のゼロデイ脆弱性 (CVE-2022-41128 ) は、北朝鮮政府が支援するグループ APT 37 (ScarCruft) によって積極的に悪用されました。 このエクスプロイトは、韓国の梨泰院(イテウォン)で最近発生したハロウィーンの祭典の際に群衆が押しつぶされて 158 人が死亡した悲劇的な事件に言及している、悪意のある docx に埋め込まれています。

Check PointのIPSは、この脅威[Microsoft Windows Scripting Languages Type Confusion (CVE-2022-41128)]に対する防御機能を備えています。

• Cisco は、最新世代の IP 電話に影響を及ぼす深刻度の高い脆弱性 (CVE-2022-20968) を公開しました。この脆弱性を利用されると、スタックオーバーフローが発生し、リモートでのコード実行やサービス拒否（DoS）攻撃を受ける可能性があります。

サイバー脅威インテリジェンスレポート

• チェック・ポイント・リサーチは、サイバースパイ活動グループ「Cloud Atlas」の活動内容を分析しました。同グループは2014年の発見以来、地理的なゾーンや政治的な対立を越えて、重要インフラストラクチャを標的とした高度な攻撃を複数回行ってきましたが、昨年はその範囲を大幅に狭め、ロシア、ベラルーシ、ウクライナとモルドバの紛争地域に明確に焦点を絞っています。

Check PointのThreat EmulationとHarmony Email and Collaborationは、この脅威に対する防御機能を備えています。

• 米国保健社会福祉省（HHS）は、ヘルスケアおよび公共医療部門を標的とするRoyalランサムウェアに関する警告を発表しました。Royalランサムウェアは、2022年9月に初めて観測された、二重の恐喝攻撃を使ってデータを盗む、金銭的動機のある集団です。

• サイバー研究者は、新しいJanicabの亜種を使用するDeathstalkerマルウェアを特定しました。このマルウェアは、2020年を通じて、中東の法律事務所や金融機関を標的とする脅威アクターによって使用されていました。最近では、中東および欧州の旅行代理店に対するキャンペーンで使用されました。

• イランの国家グループNemesis Kitten（別名DEV-0270、PHOSPHORUS）はDrokbkマルウェアを使用しており、GitHubを「デッドドロップ リゾルバー」として活用しC2通信を隠蔽しています。

• サイバー研究者は、IoTデバイスの複数の脆弱性を悪用する、「Zerobot」と呼ばれる斬新なGoベースのボットネットを発見しました。このボットネットは、さまざまなプロトコルを攻撃し、自己増殖することができます。このボットネットは、WebSocketプロトコルを使用してコマンド＆コントロールサーバと通信を行います。